Les attaques par déni de service distribué (DDoS) ne sont plus simplement des désagréments temporaires capables de faire tomber un site pendant quelques minutes. Selon le nouveau rapport d’Akamai sur les menaces dans le secteur financier, le scénario s’est complexifié : campagnes plus longues, plus automatisées et avec une capacité accrue d’impact sur la banque en ligne, les paiements numériques, les applications critiques et les API.
D’après l’entreprise, le secteur financier est désormais le plus ciblé par les attaques DDoS de couches 3 et 4, avec une augmentation de 738 % de la durée moyenne globale de ce type d’attaques depuis 2024. Ce chiffre est significatif car la relation bancaire avec la clientèle s’est massivement digitalisée, rendant ces services quasi toujours disponibles. Lorsqu’une application bancaire, une passerelle de paiement ou une API de consultation tombent en panne, ce n’est pas seulement un problème technique : cela impacte aussi la confiance, la conformité réglementaire et la continuité de l’activité.
Le DDoS n’est plus simplement du bruit : c’est aussi une pression opérationnelle
L’étude AI-Empowered Botnets and API Visibility Gaps: Attack Trends in Financial Services, dans le cadre de la série State of the Internet Security d’Akamai, met en évidence une menace particulièrement délicate : des botnets assistés par intelligence artificielle, des groupes hacktivistes et une surface d’exposition croissante due à la digitalisation du secteur financier. Akamai évoque notamment le rôle de campagnes hacktivistes pro-iraniennes et de bots alimentés par l’IA dans des attaques ciblant la banque en ligne, les systèmes de paiement et les applications critiques.
L’évolution du DDoS est importante car tous les attaques ne cherchent pas à voler des données dès les premières instants. Certaines visent à interrompre des services, saturer les équipements de sécurité, épuiser les équipes techniques ou simplement créer du « bruit » en testant d’autres vecteurs d’attaque. Dans une banque, une interruption prolongée peut affecter aussi bien les clients particuliers, les commerçants, les fournisseurs de paiement que les services intégrés via API.
Akamai indique également que 96 % des responsables de services financiers interrogés dans le cadre de l’étude sur l’impact de la sécurité API 2026 ont déclaré avoir subi au moins un incident lié aux API au cours des 12 derniers mois. C’est le taux le plus élevé parmi tous les secteurs analysés. Ce chiffre reflète une réalité bien connue des équipes de sécurité : les API sont le ciment de la banque moderne, mais elles représentent aussi une surface d’entrée difficile à contrôler lorsque l’on déploie des applications mobiles, une banque ouverte, des intégrations avec des tiers, des paiements en temps réel et des services internes à grande vitesse.
| Indicador destacado | Données d’Akamai |
|---|---|
| Augmentation de la durée moyenne des attaques DDoS de couches 3 et 4 sur les services financiers | 738 % depuis 2024 |
| Responsables financiers ayant signalé au moins un incident API en 12 mois | 96 % |
| Attaques web en 2025 ciblant la banque | 60 % du total |
| Intrusions contre des endpoints API de la banque en 2025 | 83 % |
| Institutions financières affectées par ransomware en deux ans | Près de 80 % |
| Augmentation de 147 % de l’activité des bots avancés fin 2025 |
APIs, bots et ransomware : trois menaces en croisement
L’un des aspects les plus marquants du rapport est que Akamai ne présente pas ces attaques comme des phénomènes isolés. Elle esquisse une menace plus connectée : les attaquants combinent DDoS, abus d’API, bots avancés, scraping malveillant et ransomware. Selon ses données, en 2025, 60 % des attaques web et 83 % des intrusions sur les endpoints API visaient le secteur bancaire.
L’automatisation modifie le rythme de ces attaques. Un bot avancé peut tester des identifiants, collecter des informations, simuler un comportement humain, lancer des requêtes contre des API ou participer à des campagnes de saturation. Akamai indique une croissance de 147 % de l’activité des bots avancés à la fin 2025, citant un cas où 96 % du trafic d’un site était identifié comme scraping malveillant.
Le ransomware ajoute une couche supplémentaire de pression. Le rapport révèle que près de 80 % des institutions financières ont subi des attaques par ransomware ces deux dernières années, même si moins de la moitié aurait déployé des technologies de sécurité avancées. Ce chiffre doit être considéré avec prudence puisqu’il provient de la méthodologie d’Akamai, mais il souligne une déconnexion fréquente entre la perception du risque, le budget disponible et la mise en œuvre des mesures de défense.
La situation varie aussi selon la région. Akamai place la zone EMEA comme la plus touchée par les DDoS de couches 3 et 4 dans le secteur financier, avec 62 %. En Asie-Pacifique, ce sont surtout les attaques DDoS de couche 7 qui prédominent (52 %), tandis qu’en Amérique du Nord, les attaques web sont les plus fréquentes (44 %). Pour les banques européennes, les assureurs, les fintech et les prestataires de paiement, cette segmentation régionale est essentielle car la menace ne se répand pas uniformément.
L’Europe regarde le problème sous l’angle de la résilience opérationnelle
En Union européenne, ces données interviennent dans le contexte de la mise en œuvre du règlement DORA, en vigueur depuis le 17 janvier 2025, qui vise à renforcer la résilience opérationnelle numérique des entités financières. DORA va au-delà de la simple prévention : elle intègre la gestion des risques TIC, la notification d’incidents, les tests de résilience, la surveillance des fournisseurs technologiques et la capacité de récupération.
La directive NIS2 influence également ce cadre, en établissant un régime commun de cybersécurité pour 18 secteurs critiques de l’UE. Bien que DORA soit plus spécifique au secteur financier, les deux régulations convergent vers un objectif commun : garantir que les organisations peuvent résister, répondre et se remettre des incidents technologiques majeurs.
Pour une institution financière, se défendre contre une attaque DDoS ne consiste plus seulement à augmenter la capacité en bande passante ou à filtrer le trafic en perimeter. Il faut une visibilité sur les API, un inventaire précis des services exposés, une surveillance des bots, une protection DNS, des plans de mitigation coordonnés avec les fournisseurs et des tests réguliers. La gestion des dépendances avec des tiers devient également une priorité, car une panne chez un prestataire externe peut impacter des services cruciaux.
Le défi réside dans le fait que beaucoup d’organisations ont digitalisé plus rapidement que leur architecture ne pouvait le soutenir. L’introduction de nouvelles API, d’intégrations tierces, d’applications mobiles et de services cloud accroît la surface d’attaque. Sans une vision complète de ce qui est publié, de qui en consomme et de quels données circulent, les attaquants repèrent rapidement les vulnérabilités avant même que les équipes internes ne s’en aperçoivent.
Selon Akamai, l’intelligence artificielle ne supprime pas les risques traditionnels, elle les accélère. Pour le secteur financier, cela signifie que des attaques déjà connues peuvent devenir plus économiques, plus persistantes et plus difficiles à distinguer du trafic légitime. La solution ne réside pas dans la dramatisation de chaque chiffre, mais dans la reconnaissance que la disponibilité, la protection des API et la défense contre les bots sont désormais partie intégrante de la sécurisation bancaire de base.
Questions fréquentes
Qu’est-ce qu’une attaque DDoS contre une banque ?
Il s’agit d’une attaque visant à saturer des services numériques tels qu’un site web, une application bancaire, une API ou une passerelle de paiement, en générant un volume massif de trafic ou de requêtes coordonnées.
Pourquoi les API sont-elles si cruciales dans la banque ?
Parce qu’elles connectent applications mobiles, banque en ligne, paiements, services internes et tiers. Si une API est mal protégée ou mal surveillée, elle peut devenir une porte d’entrée pour les abus ou les interruptions.
Quel lien existe-t-il entre l’intelligence artificielle et ces attaques ?
Selon Akamai, l’IA permet d’automatiser et d’étendre les tactiques connues, avec des bots plus difficiles à distinguer et des campagnes DDoS plus persistantes.
Qu’exige DORA des établissements financiers européens ?
DORA impose de renforcer la résilience opérationnelle numérique, de gérer les risques TIC, de notifier les incidents, de tester la capacité de réponse et de mieux contrôler les fournisseurs technologiques clés.
Source : akamai
